Laverna: contraseña de cifrado de texto sin formato en la línea URL!

¿Dónde lo descubrió? ¿En la página de configuración?

No, intenté iniciar sesión en una instalación nueva, luego ir a Opciones, establecer la contraseña de cifrado y volver a la página de inicio. La solicitud de la clave enc me llevó a una página con contraseña en URL.

https://i.redd.it/096w6x07l3px.png

vamos chicos

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

¿Podría ser posible que esto sea específico del sistema operativo / navegador? ¿Parece que todas las capturas de pantalla se toman en Windows?

@claell No. La contraseña simplemente se transfiere a través de GET. Estos tipos simplemente ignoran por completo la seguridad. Esto no es un error, es negligencia.

@claell Esto es específico del sistema operativo o del navegador. Este es el resultado de una aplicación mal codificada. Uno no simplemente transfiere CONTRASEÑAS en texto plano a través de GET .....

¡Y este problema ha estado abierto durante más de 6 meses! ¡Arregla esta mierda ya!

@miestasmia @Yrlish Esto no les ocurre a todos los usuarios. Entonces, en algunos casos existe esta mala transferencia y en otros no. Me preguntaba qué causa esto.

@claell Supongo que tenían la intención de que usara POST, pero por alguna razón su navegador podría estar recurriendo a GET, y usaron algo similar a $ _REQUEST de PHP que no importa de dónde viene, razón por la cual no se corrigió.

Esto se vuelve aún más anecdótico :)

Lo sentimos, pero esto sucede NO porque su contraseña se transfiera a algún lugar, sino porque en el primer inicio después de escribir la contraseña, probablemente haya escrito ENTER. Ocurre simplemente porque no evitamos el comportamiento predeterminado.

El comportamiento previsto en el primer inicio fue hacer clic en el botón "siguiente" en lugar de enviar el formulario. Luego, la contraseña se guardaría en indexeddb. El problema se puede solucionar evitando el envío de formularios por completo.

Muchos de ustedes parecen estar pensando que la contraseña estaba destinada a ser transferida al servidor, especialmente aquí , pero de hecho, la contraseña nunca tuvo la intención de ser transferida a ningún lugar, no con la solicitud POST y definitivamente no con la solicitud GET.

Perdón por mantener abiertos los problemas durante tanto tiempo que no tuvimos tiempo suficiente para realizar un seguimiento de ellos.

Se corrigió el error. Como dije, estaba sucediendo simplemente porque nos olvidamos de evitar el comportamiento predeterminado del formulario. Gracias @ jn0 por informar del problema.

Estoy usando la versión 59.0.3071.115 de Chrome (compilación oficial) (64 bits) en Windows 10 Pro x64 y acabo de experimentar este problema. La contraseña que ingresé se muestra en texto sin formato en la barra de URL, almacenada en el historial de mi navegador, y se muestra a quien sea a través de autocompletar mostrando esta URL (especialmente cuando escribo Laverna). La divulgación de contraseña es una vulnerabilidad de seguridad de alta gravedad, especialmente cuando el historial de mi navegador que contiene una contraseña de texto sin formato puede ser divulgado a un atacante remoto.

El problema ocurrió cuando creé una instancia encriptada por primera vez en mi configuración. La URL con la contraseña es la que se muestra inmediatamente después de la pantalla que dice "desbloquear" y seleccionar una aplicación. Se muestra de la siguiente manera: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

No estoy seguro, pero creo que la mejor práctica aquí es aprobar y comparar un hash o no usar el envío de formularios en absoluto.